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Beschreibung - — 

Verfahren und Vorrichtung zum rechnergestutzten Uberwachen 
eines Telekommunikationsnetzes, Verfahren zum rechnergestiitz- 
ten- Trainieren eines statistischen .Schatzers, Xomputerlesbare 
Speichermedien und Computerprogramm-Elemente 

Die Erfindung betrifft ein Verfahren ^und eine Vorrichtung. zum 
rechnergestutzten Uberwachen eines Telekommunikationsnetzes 
sowie ein Verfahren zum rechnergestutzten Trainieren eines 
statistischen Schatzers zum Uberwachen eines Telekommunikati- 
onsnetzes . 

In einem ublichen Telekommunikationsnetz, beispielsweise dem 
Internet, sind eine Vielzahl sehr unterschiedlicher kommuni- 
kationsf ahiger Gerate miteinander vernetzt, das heifit gekop- 
pelt . 

Unter einem Telekommunikationsnet z ist in diesem Zusammenhang 
ein Kommunikationsnetz zu verstehen, mittels dem unterschied- 
liche elektronische Gerate miteinander kommuni zieren konnen, 
beispielsweise 

• ein Kommunikationsnetz, welches eine Kommunikation gemaft 
den Internet-Protokollen ermoglicht, 

• ein lokales Kommunikationsnetz (Local Area Network, 
LAN) , 

• ein offentliches Kommunikationsnetz, welches auch als 
Wide Area Network (WAN) bezeichnet wird, 

• ein Funknetz, beispielsweise gemafl dem GSM-Standard oder 
dem UMTS-Standard. 

In einem solchen inhomogenen Kommunikationsnetz, das heiBt in 
einem Kommunikationsnetz mit sehr vielen unterschiedlichen 
elektronischen Geraten, die nicht auf dem gleichen Betriebs- 
system, Kommunikationsmechanismus, etc., basieren, besteht 
oftmals das Erfordernis, diese Gerate gemeinsam zu verwalten 
und/oder zu uberwachen, beispielsweise hinsichtlich eines 
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Ausfalls eines der in dem Kommunikationsnetz miteinander ge- 
koppelten Geraten oder hinsichtlich unterschiedlicher Ein- 
dringversuche oder Angrif f sversuche, die ein unbefugtes- Ein- 
dringen in die gespeicherten Daten eines solchen Gerats dar- 
5 stellen. 

Durch die Vielzahl an unterschiedlichen Arten von mit dem 
Kommunikationsnetz miteinander gekoppelten Geraten, bei- 
spielsweise 
0 • Vermittlungseinheiten, 

• kommunikationsf ahige Endgerate wie 
Drucker, 

Server-Computer, 
Workstations, 
Personal Computer, 
Laptops, 

Personal Digital Assistants (PDAs), etc. 
und aufgrund der Kompleiltat der unterschiedlichen Arten "der 
Kommunikationsverbindungen zwischen den einzelnen Geraten, 
die auf unterschiedlichen Kommunikationsstandards, d.h. Kom- 
munikationsprotokollen, basieren konnen, sind derzeit Gerate 
in einem Telekommunikationsnetz nur in sehr beschranktem Aus- 
maJ3 automatisiert zentral zu verwalten und zu uberwachen. 

Weiterhin besteht oftmals das Erfordernis, nicht nur die Ce- 
rate selbst, sondern auch Dienste, das heifit im Sinne der 
weiteren Beschreibung beispielsweise Anwendungsprogramme in 
Ausfuhrung, wie ein Webserver, ein Dateiserver, Datenbanken, 
verschiedene Anwendungsserver oder XI 1-Terminals , die eben- 
falls miteinander uber das Telekommunikationsnetz kommunizie- 
ren, zu verwalten und/oder zu uberwachen. 

Aufgrund einer derzeit mangelhaften automatisierten zentralen 
Uberwachungsmoglichkeit'ist es nur schwer, wenn uberhaupt, 
moglich, einen Ausfall" oder einen Angrif fsversuch auf ein Ge- 
rat und/oder einen Dienst zu erkennen und rechtzeitig auf ei- 
nen solchen Ausfall bzw. Angrif fsversuch zu reagieren. 
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Weiterhin wird oftmals durch einen Ausfall oder einen An- 
grif f sversuch eines Gerats bzw. eines Dienstes eine sehr hohe 
Anzahl von Fehlernachrichten erzeugt, die nur schwer zu er- 
fassen und hinsichtlich der zugrunde liegenden Fehlerursache 
bzw; Angrif f sursache zu analysieren. 

Bei heutigen bekannten Verwaltungswerkzeugen fur die Behebung 
von Storungen in .dem Kommunikationsnetz erfolgt keine .syste- 
matische Uberwachung des Telekommunikationsnetzes hinsicht- 
lich sicherheitsmaflig auffalliger oder bedenklicher Aktivita- 
ten von Komponenten in dem Telekommunikationsnet z , die auf 
einer Gesamtsicht auf das Kommunikationsnetz beruht . 

Weiterhin existieren auf der Ebene der OSI-Schicht 2 und der 
OSI-Schicht 3 des Open System Interconnection-Ref erenzmodells 
(OSI-Ref erenzmodell ) der International Organization for Stan- 
dardization (ISO) auf unterschiedliche Kommunikationsproto- 
kolle eingeschrankte Moglichkeiten zur Erkennung der.Topolo- 
gie, der Struktur von miteinander gekoppelten Kommunikations- 
geraten in einem Telekommunikationsnetz . 

Diese grundsat zlich auf vorhandene Strukturen beschrankte Er- 
kennung erlaubt -jedoch keine . Ruckschlusse auf tatsachliche- - 
Beziehungen zwischen den eihzelnen Geraten in dem Telekommu- 
nikationsnetz im Sinne des aktiven Verhaltens der einzelnen 
Gerate und/oder der verwendeten Dienste und deren Nutzung. 

Diese Beziehungen lassen sich gemafl den bekannten Kommunika- 
tionsprotokoflen auch nicht automatisch in. ausreichend groliem 
MaJie extrahieren. 

Auf der Ebene hoherer OSI-Schichten, beispielsweise der Dar- 
stellungsschicht (OSI-Schicht 6) oder der Anwendungsschicht 
(OSI-Schicht -7) des OSI-Ref erenzmodells , auf der ublicherwei- 
se die Anwendungsprogramme implementiert sind, werden gemaB 
dem Stand der Technik die einzelnen Abhangigkeitsbeziehungen 
zwischen den Kommunikationsgeraten bzw. den verwendeten 
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Diensten manuell eingegeben und in unterschiedlichen Sprache 
und Darstellungsformen entsprechend dem verwendeten Proto- 
kollformat formuliert. - - ~- 

Diese Vorgehensweise eignet sich jedoch aufgrund der Ermange 
lung einer einheitlichen allgemeinen Beschreibung der Struk- 
tur des Telekommunikationsnetzes nicht fur den Einsatz in ei 
nem realen grofieren Telekommunikationsnetz. 

Insbesondere bei einer erhohten Anzahl von Geraten und/oder 
Diensten, die uber das Telekommunikationsnetz miteinander 
kommunizieren, ist eine manuelle Uberwachung der einzelnen 
Gerate bzw. Dienste in dem Telekommunikationsnetz nicht mehr 
praktikabel bzw. uberhaupt nicht mehr moglich. 

Somit liegt der Erfindung das Problem zugrunde, kommunikati- 
onsfahige Gerate und/oder Dienste, die uber ein Telekommuni- 
kationsnetz miteinander kommunizieren, automatisiert und auf 
verglichen mit dem Stand der Technik einfachere Weise zu u- 
berwachen. 

Das Problem wird durch das Verfahren und die Vorrichtung zum 
rechnergestutzten Uberwachen eines Telekommunikationsnetzes 
sowie durch das Verfahren zum rechnergestutzten Trainieren 
eines statistischen Schatzers zum Uberwachen eines Telekommu- 
nikationsnetzes, die Computerlesbaren Speichermedien sowie 
die Computerprogramm-Elemente mit den Merkmalen gemaJS den un- 
abhangigen Patentanspruchen gelost. 

Bei einem Verfahren zum rechnergestutzten Uberwachen eines ~ 
Telekommunikationsnetzes-, welches eine Vielzahl von kommuni- 
kationsfahigen Geraten und/oder Diensten aufweist, werden von 
zumindest einem Teil der Gerate bzw. Dienste Kommunikations- 
parameter ermittelt, die die Aktivitat des jeweiligen Gerates 
bzw. Dienstes beschreiben. 
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Unter Aktivitat eines Gerats bzw. eines Dienstes ist in die- 
sem Zusammenhang beispielsweise die Rechnerauslastung eines 
Prozessors, den das Gerat aufweist bzw. der den Dienst aus- 
fiihrt, oder auch die Kommunikationsaktivitat mit anderen Ge- 
raten bzw. Diensten liber das Kommunikationsnetz, das heifit 
der Grad des Sendens und des Empfangens von Daten, vorzugs- 
weise von digitalen Daten, die in Datenpakete gruppiert sind, 
zu verstehen. 

Die ermittelten Kommunikationsparameter werden mittels eines. 
mit Trainingsdaten trainierten statistischen Schatzers mit 
einem aus ermittelten Abhangigkeiten zwischen den Geraten er- 
mittelten Normal-Abhangigkeitsbereich verglichen und aus dem 
Vergleich wird bestimmt, ob das Kommunikationsverhalten eines 
oder mehrerer Gerate bzw. Dienste, die an das Telekommunika- 
tionsnetz angeschlossen sind, sich von deren Normalverhalten, 
das heiflt von deren ungestorten Verhalten gemafl einem vorge- 
gebenen Kriterium, beispielsweise um einen vorgegebenen Tole- 
ranzbereich, unterscheidet . 

Anders ausgedruckt bedeutet dies, dass ermittelt wird, ob ein 
oder mehrere Gerate bzw. Dienste sich "in ihrem Verhalten hin- 
sichtlich eines vorgegebenen Vergleichskriteriums gegeniiber 
dem zuvor ermittelten Normal-Abhangigkeitsbereich in vorgege- 
bener Weise unterscheiden oder nicht. 

Bei einem Verfahren zum rechnergestlit zten Trainieren eines 
rechnergestutzten Schatzers, welcher zum Uberwachen eines Te- 
lekommunikationsnetzes mit einer Vielzahl von kommunikations- 
fahigen Geraten und/oder Diensten eingesetzt wird, werden von 
zumindest einem Teil der Gerate und/oder Dienste Kommunikati- 
onsparameter ermittelt, die die Aktivitat des jeweiligen Ge- 
rates bzw. Dienstes beschreiben. 

Aus den Aktivitatsdaten, im Weiteren auch als Aktivitatspara- 
meter bezeichnet, also den Kommunikationsparametern bzw. der 
Rechnerauslastung der. Gerate bzw.- Dienste werden mogliche Ab- 
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hangigkeiten zwischehT den Geraten bzw. Diensten in Bezug auf 
deren Kommunikation miteinander ermittelt und aus den ermit- 
telten Abhangigkeiten wird ein Normal-Abhangigkeitsbereich 
ermittelt, mit dem Abhangigkeiten zwischen den Geraten bzw. 
Diensten in einem Zustand im Wesentlichen ohne St6rung der. 
Gerate bzw. Dienste und ohne Angriff sversuche ' von * einem Gerat 
oder durch ein Gerat bzw.. von einem Dienst oder durch einen 
Dienst, beschrieben werden. 

Mit dem ublichen Verhalten der Gerate bzw. Dienste, das heiftt 
mit dem Normal-Abhangigkeitsbereich wird der statistische 
Schatzer trainiert. 

Eine Vorrichtung zum rechnergestutzten Uberwachen eines Tele- 
kommunikationsnetzes mit einer Vielzahl von kommunikationsf a— 
higen Geraten weist einen Prozessor auf, mit dem die oben be- 
schriebenen Verf ahrensschritte sowohl des Verfahrens zur U- 
berwachung als auch des Verfahrens zum Trainieren des statis- 
tischen Schatzers zum Uberwachen der kommunikationsf ahigen 
Gerate, die mit dem Te-lekommunikationsnet z gekoppelt sind, 
durchgefiihrt werden konnen. 

Weiterhin sind in Computerlesbaren Speichermedien Computer- 
programme zum rechnergestutzten Uberwachen eines Telekommuni- 
kationsnetzes sowie zum Trainieren eines statistischen Schat- 
zers zum Uberwachen eines Telekommunikationsnet zes gespei- 
chert, die, wenn sie von einem Prozessor ausgefuhrt- werden, - 
die oben beschriebeneh" Ver f ahrensschritte der entsprechenden 
Verfahren aufweisen. 

Ferner weisen Computerprogramm-Elemente zum rechnergestutzten 
Uberwachen des Telekommunikationsnetzes sowie zum rechnerge- 
stutzten Trainieren eines statistischen Schatzers zum Uberwa- 
chen eines Telekommunikationsnetzes die oben beschriebenen 
Verf ahrensschritte der entsprechenden Verfahren auf, wenn sie 
von einem Prozessor ausgefuhrt werden. 
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Durch die Erfindung wird es erstmals moglich, auf Ebene der 
Anwendungsschicht oder der Darstellungsschicht des OSI- 
Ref erenzmodells eine Vielzahl unterschiedlichster Gerate bzw. 
Dienste hinsichtlich derer Ausfalle bzw. beziiglich moglichen 
Angrif f sversuchen zu uberwachen, obwohl die einzelnen mit. dem 
Telekommunikationsnetz gekoppelten Gerate bzw. Dienste sehr 
inhomogen, das heifit mittels unterschiedlichster Protokolle 
auf unterschiedlichen Schichten des OSI-Ref erenzmodells ar- 
beiten. 



Ein weiterer erheblicher Vorteil der Erfindung ist darin zu 
sehen, dass auch automatisiert die Abhangigkeiten der einzel- 
nen Gerate untereinander, gemali einer Ausgestaltung der Er- 
findung sogar paarweise, berucksichtigt werden konnen und. so- 
15 mit in die automatisierte Uberwachung mit einbezogen werden 
konnen . ' 

Auf diese Weise wird die Uberwachung von Geraten und Diensten 
sehr effizient automatisch durchfuhrbar und somit kostenguns- 
20 tig. ... 

Ferner wird die automatisierte Uberwachung insbesondere durch 
eine auf statistischen Methoden basierende Analyse groBer an- 
fallender Datenmengen hinsichtlich einer moglichen Fehlerur- 

25 sache bzw. eines moglichen Angrif fsversuchs erheblich verbes- 

|- sert und effizienter ge.staltet. 

Bevorzugte Weiterbildungen der Erfindung ergeben sich aus den 
abhangigen Anspriichen. 

30 

Zumindest ein Teil der Gerate kann als kommunikationsf ahiges 
Endgerat ausgestaltet sein. 

Die Ermittlung der Aktivitatsparameter kann in* einem vorgege- 
35 benen Zeitintervall , welches- fur alle oder zumindest einen* 
Teil der Gerate in dem Kommunikationsnet z gleich oder unter- 
schiedlich sein kann, erfolgen. 
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Auf diese Weise wird auch eine zeitliche Veranderung des Ver- 
haltens der einzelnen Gerate bzw. Dienste insbesondere hin- 
sichtlich der Kommunikationsaktivitat der einzelnen Gerate 
bzw. Dienste moglich, wodurch die Genauigkeit der Oberwachung 
weiter verbessert wird. 

Gemafi einer weiteren Ausgestaltung der Erfindung ist es vor- 
gesehen, dass die Ermittlung der Aktivitatsparameter von dem 
jeweiligen Gerat selbst durchgefilhrt wird und die ermittelten 
Aktivitatsparameter werden an eine zentrale Verwaltungsein- 
heit ubertragen, in der die weiteren Verf ahrensschritte 
durchgeftihrt werden. 

So ist es beispielsweise gemaft einer Weiterbildung der Erfin- 
dung vorgesehen, dass unter Einsatz eines Net zmanagementpro- 
tokolls, beispielsweise mittels des Simple Network Management 
Protokolls (SNMP) in einer Management Information Base (MIB) 
die ermittelten Aktivitatsparameter gespeichert werden und 
entsprechend gemafi dem SNMP-Protokoll von der Verwaltungsein- 
heit die Aktivitatsparameter aus der MIB abgefragt werden und 
an die Verwaltungseinheit ubertragen werden. 

Gemafl einer alternativen Ausgestaltung der Erfindung 1st es 
vorgesehen, dass die Ermittlung der Aktivitatsparameter von 
einer Aktivitatsparameter-Ermittlungseinheit aulierhalb des 
jeweiligen Gerats durchgefuhrt wird, das heiJit beispielsweise' 
von einer Vermittlungseinheit , die unterschiedliche Kommuni- ■ 
kationsparameter an einer aufleren Schnittstelle des jeweili- 
gen Gerats ermittelt. 

Fur den Fall, dass die Aktivitatsparameter beispielsweise die 
Anzahl gesendeter oder von dem jeweiligen Gerat empfangener 
Datenpakete ist, wird als Kommunikationsparameter die Anzahl 
der unmittelbar mit dem jeweiligen Gerat gekoppelten Vermitt- 
lungseinheit ermittelten Datenpakete verwendet . 
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Die Abhangigkeiten konnen kommunikationsbedingte Abh^ngigkei- 
ten zwischen den Geraten bzw. Diensten sein, die gemali einer 
Ausgestaltung der Erfindung eine Richtungsabhangigkeit hin- 
sichtlich der Kommunikationsrichtung zwischen den einzelnen 
Geraten bzw. Diensten aufweisen konnen. 

Unter einer Richtungsabhangigkeit ist beispielsweise zu ver- 
stehen, dass unterschieden wird, ob ein Gerat bzw. ein Dienst 
eine Nachricht oder ein Datenpaket sendet oder" empf angt . 

Durch diese Weiterbildung wird die Uberwachung der Gerate 
bzw. Dienste in dem Telekommunikationsnet z weiter in ihrer 
Genauigkeit verbessert, da ein zusatzlicher Parameter, nam- 
lich die Richtungsabhangigkeitsangabe, berticksichtigt wird. 

Die unmittelbar vonaus'den Kommunikationsdaten ermittelten 
Daten konnen einer Vorverarbeitung unterschiedlicher Art, 
beispielsweise einer Filterung oder einer. statistischen Vpr- 
analyse unterzogen werden und aus den vorverarbeiteten Daten 
konnen die Kommunikationsparameter ermitteTt werden, die zur 
Uberwachung unmittelbar verwendet werden. 

Durch die Vorverarbeitung wird eine weitere Ef f izienzerhohung 
im Rahmen der Uberwachung erreicht. 

Es konnen insbesondere fur die kommunikationsbedingten Abhan- 
gigkeiten zwischen den Geraten jeweils paarweise Abhangigkei- 
ten fur jeweils ein Geratepaar bzw. ein Dienstepaar, das 
heiftt jeweils fur alle moglichen Kombinationen zweier in dem 
Telekommunikationsnetz miteinander gekoppelten Gerate bzw. 
Dienste die Aktivitatsparameter ermittelt werden. 

Auf diese Weise wird eine paarweise Betrachtung der Abhangig- 
keiten ermoglicht und somit die Ermittlung moglicher Fehler- 
ursachen weiter vereinfacht . 
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Gemaii einer weiteren Ausgestaltung der Erfindung ist es vor- 
gesehen, dass die ermittelten Aktivitatsparameter der Gerate- 
paare bzw. Diehstepaare in Form einer Matrix gespeichert wer- 
den und dass der Normal-Abhangigkeitsbereich aus der Struktur 
der ermittelten Matrix bestimmt wird. 

Somit wird eine strukturelle Abhangigkeit zwischen den .ein- 
zelnen Zeilen bzw-. Spalten der Matrix, in denen die jeweili- 
gen Abhangigkeiten angegeben sind, das heifit beispielsweise 
die Kommunikation zwischen den einzelnen Geraten bzw. Diens- 
te, die jeweils eine Zeile bzw. eine Spalte der Matrix repra- 
sentieren, ermittelt . 

Die Struktur der gebildeten Matrix wird mittels des statisti- 
schen Schatzers "erlernt" und es erfolgt im Rahmen der Anwen- 
dungsphase im Rahmen der Uberwachung der jeweiligen Gerate 
eine im Wesentlichen graphische und somit sehr einfache 
strukturelle Uberwachung mittels des statistischen Schatzers . 

Die Aktivitatsparameter konnen beispielsweise eine der fol- 
genden Parameter sein: 

• eine Anzahl der von dem jeweiligen Gerat bzw. Dienst ge- 
sendete Datenpakete oder von dem jeweiligen Gerat bzw. 
Dienst empfangene Datenpakete, 

• die Prozessorauslastung des jeweiligen Gerats, 

• die Anzahl vorgegebener Systemf unktionsauf ruf e bei- 

• spielsweise von Betriebssystemfunktionen des . Betriebs- 
systems, welches das jeweilige kommunikationsf ahige Ge- 
rat verwendet bzw. das den jeweiligen Dienst durchfuhrt, 

• die Existenz vorgegebener Prozesse bzw. vorgegebener 
Computerprogramme wahrend des Zeitraums, wahrend dessen.. 
die Kommunikationsparameter fur das jeweilige Gerat bzw. 
den jeweiligen Dient ermittelt werden. 

Als statistischer Schatzer kann beispielsweise ein grundsatz- 
lich beliebiges neuronales Modell, das heiBt ein neuronales 
Netz oder auch ein Neuro-Fuzzy-Modell verwendet werden, wel- 
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ches mit bekahnten Trainingsmethoden und eventuell zusatzlich 
mit sogenannten Pruning-Verf ahren trainiert - wird. 

Fur den Fall, dass- sich mindestens ein Gerat bzw. Dienst in 
dem Telekommunikationsnetz in vorgegebenem Mafie von dem Kri- 
terium hinsichtlich des Normal-Abhangigkeitsbereichs in sei- 
nem Verhalten unterscheidet , wird ein Alarmsignal generiert 
und einem Benutzer des Uberwachungssystems dargestellt, bei- 
spielsweise als Audiosignal Oder auch auf einem Bildschirm 
als graphisches Alarmsignal. 

Auf diese Weise wird automatisiert dem Verwalter eines. Tele- 
kommunikationsnetzes eine Warnung zuganglich gemacht, dass 
sich mit einer entsprechend groBer Wahrscheinlichkeit ein Ge- 
rat bzw. Dienst in ' dem Telekommunikationsnetz befindet, wel- • 
ches bzw. welcher gestort ist oder sogar ausgefallen ist oder 
welches bzw. welcher einen Angrif f sversuch auf ein anderes 
Gerat bzw. auf einen anderen Dienst startet oder welches bzw. 
welcher selbst mit einem unbefugten Zugriff sversuch angegrif- 
fen wird. - 

In diesem Zusammenhang ist" anzumerken, dass das Training des 
statistischen Schatzers sowohl Offline als auch zusatzlich 
oder alternativ Online, das heiJit wahrend der Anwendungspha- 
se, wahrend der schon eine Uberwachung des Telekommunikati- 
onsnetzes stattfindet, erfolgen kann. " 

Gemafl einer alternativen Ausgestaltung ist .es ferner vorgese- 
hen, den statistischen Schatzer als ein oder mehrere mitein- 
ander gekoppelter gepulster Neuronen auszugestalten . . 

Somit kann die Erfindung sowohl zum Ermitteln einer Storung 
eines Gerats bzw. Dienst in dem Telekommunikationsnetz 
und/oder zum Ermitteln eines unbefugten Zugriff sversuchs auf 
ein oder von einem Gerat Dienst in dem Telekommunikationsnetz 
eingesetzt werden. - 
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Die oben dargestellten Ausgestaltungen der Erfindung betref- 
fen sowohl die Verfahren, die Vorrichtungen als auch die Com 
puterlesbaren Speichermedien und die Computerprogramm- 
Elemente. 

Die Erfindung kann. sowohl mittels einer speziellen elektroni 
schen Schaltung, d.h. in Hardware, als auch mittels eines 
Computerprogramms, d.h. in Software, implementiert sein. 

Ein Ausfiihrungsbeispiel der Erfindung ist in den Figuren dar- 
gestellt und wird im Weiteren naher erlautert. 

Es zeigen 

Figur 1 eine Skizze eines Telekommunikationsnetzes gemafl ei- 
nem Ausfiihrungsbeispiel der Erfindung; 

Figur 2 eine Skizze der Struktur eines neuronalen Modells, 

mit dem die Abhangigkeit der Aktivitatsparameter zwi- 
schen zwei kommunikationsf ahigen Geraten gemaJi einem 
Ausfuhrungsbeispiel der Erfindung reprasentiert wird; 

Figur 3 eine Skizze, anhand der ein Mustervergleich zweier 

Matrizen dargestellt ist, in denen die Abhangigkei ten 
der Aktivitatsparameter zwischen den jeweiligen Gera- 
ten in dem Telekommunikationsnetz dargestellt sind; 

Figur 4 ein Ablauf diagramm, in dem die einzelnen Verfahrens- 
schritte des Verfahrens gemaB einem Ausfiihrungsbei- 
spiel der Erfindung dargestellt sind. 

Fig.l zeigt ein Telekommunikationsnetz 100 mit einer Vielzahl 
kommunikationsfahiger Gerate wie Personal Computer 101, 102, 
103, 104,. Terminals 105, 106, 107, Laptops 108, 109, einer 
Workstation 110, einem Firewall-Computer 111 SO wie einem 
Zentralcomputer 112, die iiber das Telekommunikationsnetz 100 
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miteinander sowie mit- einem zentralen Verwaltungsrechner 113 
gekoppelt sind. 

Die Terminals 105, 106, 107 sind liber Leitungen 114 mit dem 
5 Zentralrechner 112 sowie liber ein lokales Netzwerk- 115 mit 
dem zentralen Verwaltungsrechner 113 gekoppelt. 

Ferner sind liber den Firewall-Computer 111 die Personal Com- 
puter 101, 102, 103, 104, die Laptops 108, 109 sowie die 
10 Workstation 110. mittels Kommunikationsverbindungen 116 unter 
Verwendung des Internet-Protokolls mit dem zentralen Verwal- 
tungsrechner 113 gekoppelt. . 




Mittels des zentralen Verwaltungsrechners. 113 als zentrale 



15 Verwaltungseinheit werden die mittels des Telekommunikations 
netzes 113 miteinander gekoppelten kommunikationsf ahigen Ge- 
rate gemaiJ dem im Weiteren beschriebenen Verfahren uberwacht 

In einem ersten Schritt werden, wie im Weiteren im Detail er 
20 -lautert, die einzelnen Kommunikationsparameter fur die jewei 
ligen kommunikationsf ahigen Gerate ermittelt (Schritt 401)', 
wie in dem Ablauf diagramm 400 in Fig. 4 dargestellt ist. 



GemaiJ dem Ausf uhrungsbeispiel werden als Aktivitatsparameter 
25 f olgende, . die Aktivitat der jeweiligen Gerate in dem Telekom 
A 0 munikationsnetz 100 beschreibende Groiien hinsichtlich des Da 
tenverkehrs zwischen jeweils einem Geratepaar, das heilJt je- 
weils zweier Gerate innerhalb des Telekommunikationsnetzes 
100 ermittelt. 

30 

Es werden in einer Trainingsphase jeweils nur Daten fur den 
Verkehr zwischen zwei Geraten ausgewahlt und es werden ver- 
schiedene vorgegebene Anwendungsprogramme, beispielsweise ty 
pische Anwendungsprogramme wie ein Web-Server-Programm oder 
35 eine X-Anwendung gestartet und ausgefuhrt, wobei alle restli 
chen Gerate in dem Telekommunikationsnet z 100 ausgeschaltet 
sind oder die Daten fur den Verkehr zwischen den zwei spezi- 
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fischen Geraten beispielsweise anhand der IP-Adressen (Inter 
net Protocol-Adressen) isoliert werden konnen. 

Anschaulich wird somit jeweils nur die aufgrund der ausge- 
fuhrten Applikationen bzw. der ausge.fUhr.ten Dienste unmittel- 
bar erzeugte Kommunikation bzw. Auslastung des jeweiligen Ge- 
rates und eventuell ein Datenverkehr, das heillt eine Kommuni- 
kation zwischen den beiden ausgewahlten Geraten, bei einem 
digitalen Datenaustauschmittel beschrieben durch die Anzahl 
gesendeter bzw. empfangener Datenpakete gemafi dem UDP- 
Protokoll innerhalb eines vorgegebenen Zeitintervalls . 

Es werden fur jede Anwendung und fur jedes Geratepaar, das 
heiBt fur alle moglichen Kombinationen von Anwendung/Geraten 
in dem Telekommunikationsnet z 100 jeweils. auf die oben be- 
schriebene Weise die folgenden Kommunikationsparameter ermit- 
telt auf der Basis einer Anzahl einer in jeweils einem 5- 
Sekunden-Interyall ermittelten Anzahl von dem jeweiligen Ge- 
rat empfangenen, da-s heiflt bei dem jeweiligen Gerat ankommen- 
den Datenpakete werden unter Einsatz unterschiedlicher Vor- 
transformationen, das heiiit einer entsprechenden Vorverarbei- 
tung der Kommunikationsparameter unterzogenen Datenpakete, 
ermittelt: 

Die Anzahl der Datenpakete, jedoch gemittelt uber mehre- 
re 5-Sekunden-Intervalle und mittels einer Normierungs- 
funktion optional normiert; 

ein Korrelationswert der ausgetauschten Datenpakete zwi- 
schen den Geraten uber 30 Sekunden, das heiflt uber sechs 
5-Sekunden-lntervalle bzw. 100 Sekunden, das heiJit uber 
zwanzig 5-Sekunden-Intervalle . 

Der ermittelte Korrelationswert Corr (x, y, n ) wird gemaB 
folgender Vorschrift ermittelt: 
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Z ( x t-i " *) • iyt-i - y) 
. i=0. 

Z ( x t-± - x) 2 . .; Z tt-i - y) 2 

U=0 J U-0 



(1) 



10 
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wobei mit 

n die Anzahl beriicksichtigter Werte, bei 30 Sekunden 
somit n = 6 und bei 100 Sekunden n = 20, bezeichnet 
wird, 

x die jeweilige Anzahl empf angener Datenpakete des 
ersten Gerats zu dem entsprechend beriicksichtigten 
Zeitpunkt bezeichnet wird, 
"- y die jeweilige Anzahl empf angener Datenpakete des 
zweiten Gerats zu dem entsprechend beriicksichtigten " 
Zeitpunkt bezeichnet wird, 

x, y jeweils der gleitende Mittelwert der letzten n- 
. Werte (t - n +. 1) bis zu dem Zeitpunkt t des ersten 
bzw. des zweiten Gerats bezeichnet wird. 



20 



Der Betrag der Differenz der jeweils ankommenden Pakete 
des ersten Gerats des Geratepaars und des zweiten Ger.ats 
des Geratepaars, das jeweils betrachtet wird; 

Der Minimum-Wert der wahrend jeweils eines 5-Sekunden- 
Intervalls ermittelten Anzahl der bei einem der beiden 
Gerate des Geratepaars ankommenden Datenpakete. 



25 



30 



Unter Verwendung der ermittelten Kommunikationsparameter , die 
fur eine Vielzahl von Trainingsintervallen ermittelt werden, 
wird jeweils fiir ein Trainingsintervall ein Trainingsdatum 
ermittelt und dem in Fig. 2 dargestellten neuronalen Netz 200 ' 
zu dessen Training zugefiihrt. 

Das neuronale Netz 200 weist eine Eingangsschicht 201 mit 
zehn Eingangsneuronen auf, die uber jeweils eine Eins-zu- 
Eins-Verbindung als Identitats-Abbildung mit einer Vorverar- 
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beitungsschicht 202, die ebenfalls zehn Neuronen aufweist, 
gekoppelt sind. 

Es ist jeweils ein Neuron der Vorverarbeitungsschicht 202 mit 
einem Neuron der Eingangsschicht 201 gekoppelt. 

Weiterhin ist eine, beispielsweise in [1] beschriebene lokale 
Modellierungsschicht 203 mit den Neuronen der Vorverarbei- 
tungsschicht 202 gekoppelt. 

Eine versteckte Schicht 204 mit einer grundsatzlich beliebi- 
gen Anzahl von Neuronen ist sowohl mit den Neuronen der Vor- 
verarbeitungsschicht 202 als auch mit den Neuronen der loka- 
len Modellierungsschicht 203 gekoppelt.. 



Weiterhin ist die versteckte Schicht 204 uber die Ausgange 
ihrer Neuronen mit Neuronen einer Ausgangsschicht 205 gekop- 
pelt, die Ausgabewerte 206 erzeugen. 



Das Training der neuronalen Anordnung 200 erfolgt auf ubliche 
Weise, beispielsweise mittels eines Backpropagation- 
Trainingsverfahrens unter Einsatz eines Pruning-Verf ahrens 
wie beispielsweise in [1] beschrieben. 

Es ist jeweils ein neuronales Netz 200 der in Fig. 2 darge- 
stellten Struktur fur jedes Geratepaar der in dem Telekommu- 
nikationsnetz 100 enthaltenen Gerate vorgesehen und das neu- 
ronal Netz 200 wird fur dieses Geratepaar entsprechend auf 
die oben beschriebene Weise trainiert. 



so- 



Mittels des neuronalen Netzes 200 ist es somit moglich, 
wohl lokale Zusammenhange als auch globale Zusammenhange des 
Kommunikationsverhaltens des jeweiligen Geratepaars zu model- 
lieren. 
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Sind m Gerate iiber das Telekommunikationsnetz 100 miteinander 
gekoppelt> so sind ^ m - — Kombinationen Daten zu -erheben 
und dem neuronalen Netz 200 zum Training zuzufiihren. 

5 Das gemafi dem oben beschriebenen Verfahren trainierte neuro- 
nale Netz 200 wird kopiert und liefert somit fur jedes Gera- 
tepaar bei Anlegen der Eingangsdaten eine Ausgabe. Natiirlich 
konnen auch mehrere, verschiedene, spezialisierte neurdnale 
Netze verwendet werden. Somit kann das oben beschriebene Ver- 
io fahren fur jedes Geratepaar der Gerate in dem Telekommunika- 
tionsnetz durchgefiihrt werden, wie in Schritt 402 des Ablauf- 
diagramms 400 dargestellt. 

Alternativ kann zur Erhohung der Genauigkeit fiir verschiedene . 
15 Kombinationen von Geratetypen jeweils ein eigenes neuronales 
Netz trainiert" werden. 

Ergebnis des Schritts 402 ist dann eine Anzahl von — 

2 

gleicher oder verschiedener neuronaler Netze 200 (bei m ver- 
20 schiedenen Geratetypen) , die auf die oben beschriebene Weise 
trainiert worden sind. 

Aufgrund des Ausgabeverhaltens dieser neuronalen Netze 200 
| fiir unterschiedliche Trainingsdaten wird eine Ausgabestruktur 
25 ermittelt und beispielsweise in Form einer Matrix 300, wie 

sie in Fig. 3 dargestellt ist, gespeichert. 

Fig.3 zeigt in einer Matrix 300 jeweils in einer Spalte 301 
bzw." einer Zeile 302 der Matrix 300, welche jeweils. ein Gerat 

30 in dem Telekommunikationsnetz 100 reprasentiert , in jeweils 
einem Feld die dem Grad der Abhangigkeit des Net zverkehrs , 
das heifi't der ankommenden Datenpakete aufgrund der trainier- 
ten neuronalen Netze 200, die jeweils die Abhangigkeit des 
Datenverkehrs zwischen den einzelnen Geratepaaren angeben, 

35 an . 
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Die Felder konnen sowohl iiber eine graphische Representation 
als auch iiber einen vorgebbaren Zahlenwert, der den" Grad der 
Abhangigkeit des Datenverkehrs reprasentiert , beschrieben 
5 werden. . " 

Anschaulich ist in Fig. 3 durch unterschiedliche Schattierung 
bzw. Schraffierung jeweils ein. unterschiedlicher Grad der Ab- 
hangigkeit der unterschiedlichen Netzaktivi taten der jeweili- 
gen Geratepaare eingetragen. 



0 



Es ergibt sich somit eine graphische Abhangigkei tsstruktur, 
die im Weiteren als Trainingskarte 303 bezeichnet wird. 

Ein zweites neuronales Modell, gemafi dem Ausf uhrungsbeispie.1 
ein Neuro-Fuzzy-Modell, wird anschlieflend eingesetzt, urn ab- 
hangig von den Trainingsdaten aus der Trainingsphase die er- 
mittelte Trainingskarte 303, die die Abhangigkeitert aus der 
Trainingsphase beschreibt, mittels bekannter Trainingsverf ah- 
ren zu erlernen. 



Wahrend der Anwendungsphase werden die entsprechenden Aktivi- 
tatsparameter kontinuierlich ermittelt und es wird eine An- 
wendungskarte 304 auf die oben beschriebene gleiche Weise er- 
mittelt, wie die Trainingskarte 303 wahrend des Trainingsver- 
fahrens ermittelt worden ist. 

Selbstverstandlich wird in der Anwendungsphase nicht jedes 
Gerat individuell jeweils mit einem weiteren Gerat als Gera- 
tepaar untersucht, sondern es werden jeweils fur die entspre- 
chenden Zeitintervalle die ankommenden Datenpakete bei dem 
Deweiligen Gerat ermittelt. Dies erfolgt jeweils unter Ver- 
wendung der jeweiligen Adressenangaben in den Datenpaketen 
die der Sender bzw. Empfanger des Datenpakets ermitteln kann, 
wodurch die entsprechenden Korrelationen zwischen den einzel- 
nen Geratepaaren in der Anwendungsphase ermittelt werden. 
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Das sich in der Anwendungsphase ergebende Bild als Anwen- 
dungskarte 304 wird in einem weiteren Schritt (Schritt 404) 
mittels des Neuro-Fuzzy-Modells mit der - Trainingskarte 303 
verglichen. 

Unterscheidet sich die Anwendungskarte 304 gemafi einem vorge- 
gebenen Ahnlichkeitskriterium starker als ein vorgegebener 
Schwellenwert, der einen Toleranzbereich aufweisen kann, so 
wird ein Alarmsignal generiert (Schritt 405) , mit dem ange- 
zeigt wird, dass eine auffallige Net zaktivitat bei mindestens 
einem Gerat bzw. Dienst in dem Telekommunikationsnet z 100 er- 
mittelt worden ist aufgrund einer unterschiedlichen Karten- 
struktur der Anwendungskarte 304 verglichen mit der Trai- 
ningskarte 303. 

Somit kann entweder aufgrund dieses Vergleichsergebnisses, 
welches zu dem Alarmsignal fuhrt, auf einen Ausfall eines ci- 
der mehrerer Gerate in dem Telekommunikationsnet z 100 ge- 
schlossen werden oder darauf, dass von einem Gerat aus ein 
Angrif f sversuch in ein weiteres Gerat in dem Telekommunikati- 
onsnetz 100 gestartet wird, oder dass auf einem Gerat ein un- 
befugter Zugriff sversuch, das hei!3t ein Angrif f sversuch, un- 
ternommen wird. 

Wird keine auffallige Net zaktivitat in dem Priif ungsschritt 
404 ermittelt, so wird das Uberwachungsver f ahren in einem 
wiederholten Ermitteln einer Anwendungskarte 304 in einer er- 
neuten Anwendungsphase (Schritt 4 03) durchgef uhrt . 

Das Verfahren wird solange durchgef uhrt, bis es entweder 
durch den'Benutzer des Net_zverwaltungssystems, das heifit den 
Benutzer der zentralen Verwaltungseinheit 113 beendet wird, 
oder bis das Alarmsignal generiert worden ist (Schritt 405) . 
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In diesem Dokument ist folgende Verof f entlichung zitiert: 

[1] G.B. Orr, Neural Networks: tricks of the trade, K.-R. 
Mtiller (ed.), Berlin, Springer, ISBN 3-540-65311-2, 
(Lecture notes in computer science, Vol. 1524), 1998 
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Patentanspruche . - - 

1. Verfahren zum rechnergestutzten Uberwachen eines Telekom- 
munikationsnet zes mit einer Vielzahl von kommunikationsf ahi- 
gen Geraten, 

• bei dem von zumindest einem Teil der Gerate und/oder von 
Diensten Aktivitatsparameter ermittelt werden, die die 
Aktivitat des jeweiligen Gerats und/oder des jeweiligen 
Dienstes beschreiben, 

• bei dem die ermittelten Aktivitatsparameter mittels ei- 
nes mit Trainingsdaten trainierten statistischen Schat- 
zers mit einem aus ermittelten Abhangigkeiten zwischen 
den Geraten ermittelten Normal-Abhangigkeitsbereich ver- 
glichen werden, und 

• bei dem aus dem Vergleich bestimmt wird, ob das Kommuni- 
kationsverhalten zumindest eines Gerats und/oder zumin- 
dest eines Dienstes in dem Telekommuriikationsnet z sich 
von dem .Normal-Abhangigkeitsbereich gemali einem vorgege- 
benen Kriterium unterscheidet . 

2. Verfahren zum rechnergestutzten Trainieren eines statisti- 
schen Schatzers zum Verwalten eines Telekommunikationsnetzes 
mit (?iner Vielzahl von kommunikationsf ahigen Geraten, 

• bei dem von zumindest einem Teil der Gerate und/oder von 
Diensten Kommunikationsparameter ermittelt werden, die 
die Aktivitat des jeweiligen Gerats und/oder des jewei- 
ligen Dienstes beschreiben, 

• bei dem aus den Kommunikationsparametern der Gerate 
und/oder Dienste mogliche Abhangigkeiten zwischen den 
Geraten und/oder Diensten ermittelt werden, 

• bei dem aus den ermittelten Abhangigkeiten ein Normal- 
Abhangigkeitsbereich ermittelt wird, mit dem Abhangig- 
keiten zwischen den Geraten und/oder Diensten in einem 
Zustand im wesentlichen ohne Storungen beschrieben wird, 

. . mit dem der statische Schatzer" trainiert wird. 

3. Verfahren nach Anspruch 1 oder 2, 
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bei dem zumindest ein Teil der Gerate als kommunikationsf ahi- 
ges Endgerat ausgestaltet ist. 

4.. Verfahren nach einem der Anspriiche 1 bis 3, 
bei dem die Ermittlung der "Aktivitatsparameter. in einem vor-~ 
-gegebenen Zeitintervall erfolgt, - . 

5. Verfahren nach einem der Anspriiche 1 bis 4, 

bei dem die Ermittlung der Aktivitatsparameter von dem 
jeweiligen Gerat durchgefiihrt wird, und 
• bei dem die ermittelten Aktivitatsparameter an eine-Ver- 
waltungseinheit ubertragen wird, in der die weiteren 
. Verfahrensschritte durchgefuhrt werden. 

6. Verfahren nach einem der Anspriiche 1 bis 5, 

bei dem die Ermittlung der Aktivitatsparameter von einer Ak- 
tivitatsparameter-Ermittlungseinheit auflerhalb des jeweiligen 
Gerats durchgefuhrt wird. 

7. Verfahren nach einem der Anspriiche 1 bis 6, 

bei dem als" Abhangigkeiten "kommunikationsbedingte Abhangig- 
keiten zwischen den Geraten und/oder Diensten ermittelt wer- 
den . 

8. Verfahren nach einem der Anspriiche 1 bis 7, 

bei dem mogliche Richtungsabhangigkeiten hinsichtlich der 
Kommunikationsrichtungen zwischen den Geraten und/oder Diens- 
ten ermittelt werden. 

9. Verfahren nach einem der Anspriiche 1 bis 8, 

bei dem Daten von den Geraten und/oder Diensten ermit- 
telt werden, und 

bei dem aus den Daten die Aktivitatsparameter ermittelt 
werden. 



10. 



Verfahren nach einem der Anspruche 1 bis 9, 
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bei dem fur alle moglichen Geratepaare und/oder Dienstepaaren 
jeweils zweier Gerate und/oder Dienste die Aktivitatsparame- 
ter ermittelt werden, _ 

11. Verfahren nach Anspruch 10, - — - 

• bei dem die ermittelten Aktivitatsparameter der Gerate- 
paare in Form einer Matrix gespeichert werden, und 

• bei dem der Normal-Abhangigkeitsbereich aus der Struktur 
der Matrix ermittelt wird. 

12. Verfahren nach einem der Anspruche 1 bis 11, 

bei dem als Aktivitatsparameter zumindest einer der folgenden 
Parameter ermittelt werden: 

• von dem jeweiligen Gerat und/oder Dienst gesendete Da- 
tenpakete oder von dem jeweiligen Gerat und/oder Dienst 
empfangene Datenpakete ermittelt werden, 

• die Prozessorauslastung des jeweiligen Gerats ermittelt 
werden, 

• die Anzahl vorgegebener Systemf unktionsauf ruf e, 

• die Existenz vorgegebener Prozesse bzw. vorgegebener 
Computerprogramme . 

13. Verfahren nach einem der Anspriiche 1 bis 12, 

bei dem als statistischer Schatzer ein Neuro-Fuzzy-Modell 
verwendet wird. 

14. Verfahren nach einem der Anspruche 1 bis 13, 

bei dem fur den Fall, dass sich mindestens ein Gerat in dem 
Telekommunikationsnetz von dem Normal-Abhangigkeitsbereich 
gemaii dem vorgegebenen Kriterium Unte'rscheidet , ein Alarmsig- 
nal generiert wird. 

15. Verfahren nach einem der Anspruche 1 bis 14, 
eingesetzt zum Ermitteln einer Storung eines Gerats in dem 
Telekommunikationsnetz und/oder zum Ermitteln eines unbefug- 
ten Zugrif f sversuchs auf ein oder von einem Gerat in dem Te- 
lekommunikationsnetz. • 
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16. Vorrichtung zum rechnergestutzten Oberwachen eines Tele- 
kommunikationsnetzes mit einer Vielzahl von kommunikationsf a- 
higen Geraten, 

mit einem Prozessor, ..der derart eingerichtet ist, dass fol- 
gende Schritte durchfuhrbar sind: 

• von zumindest einem Teil der Gerate und/oder von Diens- 
ten werden Aktivitatsparameter ermittelt, die die Akti- 

vitat des. jeweiligen Gerats und/oder des jeweiligen 

Dienstes beschreiben, 

♦ die ermittelten Aktivitatsparameter werden mittels eines 
• mit Trainingsdaten trainierten statistischen Schatzers 

mit einem aus ermittelten Abhangigkeiten zwischen den 
Geraten. ermittelten Normal-Abhangigkeitsbereich vergli- 
chen, und 

aus dem Vergleich wird bestimmt, ob das Kommunikations- 
verhalten zumindest eines Gerats und/oder zumindest ei- 
nes Dienstes in dem Telekommunikationsnetz sich von dem 
Normal-Abhangigkeitsbereich gemaB einem vorgegebenen 
Kriterium unterscheidet . 

17. Computerlesbares Speichermedium, in dem ein Computerpro- 
gramm zum rechnergestutzten Uberwachen eines Telekommunikati- 
onsnetzes mit einer Vielzahl von kommunikationsf ahigen Gera- 
ten gespeichert ist, das, wenn es von einem Prozessor ausge- 
fuhrt wird, folgende Verf ahrensschri tte aufweist: 

von zumindest einem Teil der Gerate und/oder von Diens- 
ten werden Aktivitatsparameter ermittelt, die die Akti- 
vitat des jeweiligen Gerats und/oder des jeweiligen 
Dienstes beschreiben, 

die ermittelten Aktivitatsparameter werden mittels eines 
mit Trainingsdaten trainierten statistischen Schatzers 
mit einem aus ermittelten Abhangigkeiten zwischen den 
Geraten ermittelten Normal-Abhangigkeitsbereich vergli- 
chen, und • 

• aus dem Vergleich wird. bestimmt, ob das Kommunikations- 
verhalten zumindest eines Gerats und/oder zumindest ei- 
nes Dienstes in dem Telekommunikationsnetz sich von dem 



200100426 



25 

Normal-Abhangigkeitsbereich gemafi einem vorgegebenen 
Kriterium unterscheidet . 

18. Computerprogramm-Element zum rechnergestiitzten Uberwachen 
eines Telekommunikationsnetzes mit einer Vielzahl von kommu- 
nikationsf ahigen Geraten, das, wenn es von einem Prozessor 
ausgefiihrt wird, folgende Verf ahrensschritte aufweist: 

• von zumindest einem Teil der Gerate und/oder von Diens- 
ten werden Aktivitatsparameter ermittelt, die die Akti- 
vitat des jeweiligen Gerats und/oder des jeweiligen 
Dienstes beschreiben, : 

• die ermittelten Aktivitatsparameter werden mittels eines 
mit Trainingsdaten trainierten statistischen Schatzers 
mit einem aus ermittelten Abhangigkeite'n zwischen den* 
Geraten ermittelten Normal-Abhangigkeitsbereich vergli- . 
chen, und 

• aus dem Vergleich wird bestimmt, ob das Kommunikations- 
verhalten zumindest eines Gerats und/oder zumindest ei- 
nes Dienstes in dem Telekommunikationsnetz sich von dem 
Normal-Abhangigkeitsbereich gemafi einem vorgegebenen 
Kriterium unterscheidet. 



19. Qomputerlesbares Speichermedium, in dem ein Computerpro- 
gramm zum rechnergestiitzten Trainieren eines statistischen 
Schatzers zum Verwalten eines Telekommunikationsnetzes mit 
einer Vielzahl von kommunikationsf ahigen Geraten gespeichert 
ist, das, wenn es von einem Prozessor ausgefiihrt wird, fol- 
gende Verf ahrensschritte aufweist: 

• von zumindest einem Teil der Gerate und/oder von Diens- 
ten werden Aktivitatsparameter ermittelt, die die Akti- 
vitat des jeweiligen Gerats und/oder des jeweiligen 
Dienstes beschreiben, 

• aus den Aktivitatsparameter der Gerate und/oder Dienste 
werden mogliche Abhangigkeite'n zwischen den Geraten 
und/oder Diensten ermittelt, 

• aus den ermittelten Abhangigkei ten wird ein Normal- 
Abhangigkeitsbereich ermittelt, mit dem Abhangigkeiten 
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zwischen den Geraten und/oder Di ens ten- -in einem Zustand 

wesentlichen ohn e Storungen beschrieben wird, mit dem 
der statische Schatzer trainiert wird. 

20. Computerprogramm-Element zum rechnergestiitzten Trainieren. 
eines statistischen Schatzers zum Verwalten eines Telekommu- 
nikationsnetzes. mit einer Vielzahl von kommunikationsf ahigen 
Geraten, das, wenn.es von einem Prozessor. ausgefuhrt wird, 
folgende Verf ahrensschritte aufweist: 

• von zumindest einem Teil der Gerate und/oder von Diens- 
ten werden Aktivitatsparameter ermittelt, die die Akti- 
vitat des jeweiligen Gerats und/oder des jeweiligen 
Dienstes beschreiben, 

• aus den Aktivitatsparameter der Gerate und/oder^)ienste 
werden mogliche Abhangigkeiten zwischen den Geraten 
und/oder Diensten ermittelt, 

• aus den ermittelten Abhangigkeiten_wird ein Normal- 
Abhangigkeitsbereich ermittelt, mit dem Abhangigkeiten 
zwischen den Geraten und/oder Diensten in einem Zustand 
im wesentlichen ohne Storungen beschrieben wird,- mit dem 
der statische Schatzer trainiert wird. 
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Zusammenf assung — - — - - - - 

Verfahren und Vorrichtung zum rechnergestiit zten Uberwachen 
eines Telekommunikationsnetzes, Verfahren zum rechnergestiit z- 
5 ten Trainieren eines statistischen Schatzers, Computer lesbare 
Speichermedien und Computerprogramm-Elemente_ 

Es werden zumindest von einem Teil .der. Gerate und/oder Diens- 
te Aktivitatsparameter ermittelt, die die Aktivitat des je- 

0 weiligen Gerats beschreiben. Die ermittelten Kommunikations-. 
" parameter werden mittels eines trainierten statistischen • • - 
Schatzers mit einem aus ermittelten Abhangigkeiten zwischen 
den Geraten ermittelten Normal-Abhangigkeitsbereich vergli- 
chen und es wird bestimmt, ob das Kommunikationsverhalten der 

5 Gerate einem vorgegebenen Kriterium geniigen. 

Figur 4 
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Trainieren Neuronale Netze fur jedes" 
Geratepaar der Gerate in dem 
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Alarmsignal erzeugen 



